防火墙通过注册查询中心方式上云

上云基本流程

设备以空配置启动且当前运营商网络中存在DHCP Server和DNS Server时，FW会自动与云管理平台建立连接。此方式在云管理园区解决方案中称为即插即用方式。

FW与云管理平台建立连接以及被云管理平台纳管的过程如图1所示。

图1 FW与云管理平台建立连接以及被云管理平台纳管的过程

1. FW向注册查询中心查询云管理平台的域名和端口。

   1. FW连接上Internet以后，自动向注册查询中心（默认域名register.naas.huawei.com）发送HTTP2.0通道建立请求。

      在空配置条件下，FW将以传统模式启动。启动过程中，FW会把接口状态为UP的业务口的DHCP Client和DNS Client功能打开，并将此接口加入安全区域，然后开放安全策略，以使自己可以成功连接上Internet。

      

      FW在传统运行模式下时，管理员不可以登录FW，否则会造成后续FW无法自动切换到云管理模式，造成连接云平台失败。如果管理员已经误登录，请恢复FW空配置这个初始条件后重启设备，以便FW能自动连接到云管理平台。

   2. 注册查询中心向FW返回HTTP2.0通道连接响应消息。

      建成的HTTP2.0通道用来传送后续的域名查询请求。

   3. FW向注册查询中心发送域名查询请求。

      此消息用来查找FW所要连接的云管理平台域名和端口。

   4. 注册查询中心向FW返回查询结果。

      注册查询中心会从云管理平台同步FW的ESN、设备类型、云管理平台域名和端口等信息，然后将此信息返回给FW。

      FW收到云管理平台的域名和端口信息后，会自动把运行模式切换成云管理模式。

      

      FW切换为云管理模式时，会触发一次设备重启，该重启属于正常现象。

      如果FW查询无果，系统将不进行云管理模式切换，而是以传统模式完成启动。系统启动完成后，之前为业务口开放的DHCP Client功能会关闭、接口与安全区域的绑定关系取消，并恢复缺省的安全策略。

2. FW连接和纳入云管理平台。

   1. FW向云管理平台发送NETCONF通道连接请求。

      连接请求中携带了FW的设备证书，此证书供云管理平台验证FW的身份。

   2. 云管理平台向FW返回NETCONF通道连接响应消息。

      建成的NETCONF通道用来传送后续的查询请求、业务配置等消息。

   3. FW和云管理平台彼此向对方发送Hello报文，检测NETCONF通道连接状态。

   4. 云管理平台向FW发送设备信息查询请求。

   5. FW将自己的设备信息返回给云管理平台。

   6. 云管理平台根据上一步获得的FW信息，向该设备下发业务配置。

   7. FW向云管理平台返回配置结果。

   云管理平台可以向FW正常下发业务配置，这就表示FW已经纳入了云管理平台的管理。纳入云管理平台的FW会主动向云管理平台上报NETCONF Notification告警。

上云配置方法

防火墙通过注册查询中心方式上云，在开局现场只需要将防火墙安装上电，完成接入Internet的连线即可，不需要做额外的配置操作。但是需要防火墙同时满足空配置、串口无输入和无用户登录三个条件。满足上述条件的防火墙接入网络后，通过DHCP协议自动获取云管理平台地址，完成在云管理平台上注册上线。